17 suites de protection des points terminaux pour Windows 11 testées

Quand les experts parlent de points terminaux, ils font généralement référence aux PC Windows des employés, qui représentent la zone la plus vulnérable aux attaques en entreprise. Protéger ces appareils de manière infaillible est donc indispensable. Pour son évaluation actuelle, l’institut AV-TEST a testé 17 logiciels de protection des terminaux Windows pour entreprises. Outre l’important effet protecteur du logiciel, il s’agissait également d’analyser la charge système et la propension aux fausses alertes. Pour réaliser le test, plus de 20 000 échantillons de malwares et 900 000 fichiers inoffensifs ont été utilisés. Le résultat met en évidence le bon travail des fabricants qui sécurisent de manière fiable les PC clients Windows 11 des employés en entreprise.

Les entreprises sont et restent des cibles privilégiées pour les cyberattaques. Pour les grands groupes comme pour les PME, se doter d’une résistance robuste pour protéger les données et les secrets industriels, mais aussi pour répondre aux nombreuses normes en matière de protection des données telles que le RGPD ou la prochaine directive NIS2 est absolument indispensable. Une sécurisation parfaite des PC en entreprise est donc un enjeu primordial. Dans leur série de tests des PC de bureau Windows 11, les experts en cybersécurité d’AV-TEST ont examiné et certifié 17 logiciels de protection. En mars et avril 2025, 17 produits sous Windows ont été soumis à des tests approfondis portant sur la protection, la performance et l’utilisation. Le laboratoire a utilisé plus de 20 000 échantillons de programmes malveillants pour tester les capacités de défense, ainsi que près de
900 000 fichiers inoffensifs pour le contrôle des fausses alertes.

Solutions de protection des points terminaux sur le banc d’essai:

Produits Téléchargeables Gratuitement sur :

https://www.01net.com/antivirus/

Les produits des fabricants suivants ont été testés : Avast, Bitdefender, Check Point, ESET, HP Security, Huawei, Kaspersky (avec 2 versions), Legendsec, Microsoft, Microworld, Qualys, Seqrite, Sophos, Symantec, Trellix et WithSecure.

Dans chaque catégorie, un produit peut obtenir jusqu’à 6 points. La meilleure note possible pour les trois catégories est donc de 18 points. Chaque produit ayant réussi le test obtient également le certificat de sécurité « Approved Corporate Endpoint Protection ». Les produits qui réalisent un score final de 18 ou d’au moins 17,5 points se voient décerner en plus du certificat le label TOP PRODUCT.

Les produits de sécurité pour entreprises sont testés dans la configuration prédéfinie par le fabricant. Les versions utilisées sont toujours les versions disponibles au moment du test. Grâce à la mise à jour en ligne, les versions peuvent s’actualiser à tout moment et utiliser leurs services « en nuage ».

Afin qu’on puisse comprendre le test plus facilement, le laboratoire utilise pour le déroulement du test les normes de l’AMTSO (Anti-Malware Testing Standards Organization). Les tests reconnus par cette organisation internationale garantissent que les méthodes utilisées pour les tests anti-malwares respectent les normes établies en matière d’objectivité, de qualité et de pertinence. C’est pourquoi chaque test effectué porte un numéro de référence dans une base de données.

Plus de 20 000 échantillons de malwares sur les terminaux Windows 11

Lors de l’épreuve portant sur l’effet protecteur, le laboratoire soumet les produits à deux tests : le premier, le test en conditions réelles (real-world test), fait appel aux programmes malveillants appelés malwares 0-day. Pour le deuxième, le laboratoire utilise un kit de référence contenant des programmes malveillants en cours depuis peu. Les tests portant sur l’effet protecteur ont été réalisés sous Windows 11 en mars et en avril 2025. On trouve donc dans les tableaux affichant les taux de détection quatre valeurs.

Lors du test en conditions réelles avec près de 1400 échantillons de malwares 0-day et lors du test avec le kit de références et ses quelque 19 000 virus, chevaux de Troie, etc., les 11 produits suivants ont identifié les attaquants à 100 pour cent : Avast, Bitdefender, ESET, HP Security, Kaspersky (deux versions), Legendsec, Microsoft, Symantec, Trellix et WithSecure. Qualys est passé à côté de la meilleure note à l’une des deux épreuves : 99,9 pour cent.

Il en est de même pour Sophos, Huawei, Microworld et Seqrite qui commettent quelques petites erreurs soit au test en conditions réelles, soit au test avec le kit de référence, mais qui obtiennent tout de même le score maximal de 6 points à cette épreuve sur l’effet protecteur.

Seul le produit de Check Point commet trop d’erreurs à toutes les épreuves, et n’obtient qu’un taux de détection entre 98,2 et 99,4 pour cent, ce qui est nettement insuffisant. Le produit ne totalise que 4 points sur les 6 possibles.

PC de bureau lents et rapides

Pour exercer sa fonction de protection, chaque produit sollicite une certaine quantité de ressources système sous Windows. Mais les besoins doivent tout de même rester limités. Pour s’en assurer, les testeurs utilisent un PC de bureau ordinaire et un PC haut de gamme sous Windows 11. Puis, ils téléchargent, installent et démarrent des applications. Enfin, ils copient d’innombrables données localement sur le PC et dans le réseau. Le temps mis à effectuer ces opérations sert de référence. Car toutes les opérations sont ensuite répétées et évaluées avec le logiciel de protection installé.

Les produits Avast, Kaspersky (deux versions), Legendsec, Microsoft, Qualys, Seqrite, Trellix et WithSecure accomplissent leur tâche sans ralentir le système, ce qui leur rapporte 6 points au score de performance.

Certains produits génèrent une légère charge système, ce qui leur coûte un demi-point. Ils affichent un score final de 5,5 points : Bitdefender, ESET, HP Security, Huawei, Microworld, Sophos et Symantec.

Encore une fois dans cette section du test, la solution de Check Point se démarque en sollicitant nettement trop de ressources système et en ralentissant les PC. Elle ne remporte donc que 4 points sur 6 possibles.

Fausse détection = vraie alerte

Lorsqu’une suite antivirus déclenche une alerte dans une entreprise, ceci peut paralyser un service entier, voire plus dans certaines conditions. C’est pourquoi il est essentiel qu’une solution de protection des points terminaux sache distinguer les données dangereuses des données inoffensives. Pour tester cette capacité, les experts surfent sur 500 sites web, effectuent des téléchargements, installent et démarrent des applications. Pour finir, ils envoient plus de 900 000 fichiers inoffensifs sur les systèmes testés.

Malgré la masse de fichiers, certains logiciels ne bloquent qu’un ou deux programmes. Ils affichent donc le score de protection maximal de 6 points. Seul le produit de Legendsec a bloqué quelques applications de plus après l’installation et le démarrage et ne récolte que 5,5 points.

Sécurité accrue pour les PC d’entreprise

Pour un grand nombre de solutions de protection des points de terminaison, le résultat du test réalisé en mars-avril 2025 est parfait. Les produits d’Avast, Kaspersky (avec les deux versions), Microsoft, Qualys, Seqrite, Trellix et WithSecure achèvent le test avec un score final de 18 points. Ils sont suivis de près par les suites de sécurité de Bitdefender, ESET, HP Security, Huawei, Legendsec, Microworld, Sophos et Symantec qui remportent la très bonne note de 17,5 points. Tous obtiennent en plus du certificat de sécurité « Approved Corporate Endpoint Protection » le label TOP PRODUCT.

Si vous avez fait le compte, vous constaterez que 16 des 17 solutions testées caracolent en tête du classement. Seul le produit de Check Point réalise une performance décevante au cours de ces deux mois de test, avec un résultat final de 14 points seulement.

Au vu de ces scores, les responsables de la sécurité informatique disposent d’un large choix de produits fiables. Nous leur recommandons toutefois de consulter également les évaluations de la série spéciale des tests Advanced Threat Protection. En effet, lors de ces tests plus approfondis, les produits de protection des points de terminaison doivent montrer dans 10 scénarios en live comment ils neutralisent les ransomwares et les voleurs de données armés des techniques les plus récentes.

Sécurité réseau et NAS : le guide 2026 pour protéger vos données

Le NAS continue de s’imposer comme un outils incontournable pour les particuliers et les entreprises. Autrefois simple boîtier de stockage, il est devenu un serveur polyvalent, capable d’héberger des sauvegardes, des applications sensibles, de diffuser du contenu multimédia, etc. Mais cette montée en puissance s’accompagne également de risques… La multiplication des attaques visant les réseaux, les objets connectés et les NAS eux-mêmes rappelle que la sécurité n’est plus un luxe, mais un prérequis…

Sécurité réseau en 2026

Le premier point à garder en tête, c’est que la sécurité de votre NAS dépend de la sécurité de votre réseau. Une faille sur un routeur, un objet connecté ou encore un mot de passe mal choisi suffisent pour ouvrir la porte à une compromission plus large.

En 2025, les attaquants n’ont plus besoin d’être experts (script kiddie) : la plupart des intrusions sont automatisées et facilitées par l’IA. Elles exploitent des ports ouverts, des services par défaut, des vulnérabilités connues mais non corrigées.

Sécuriser son réseau local

La première étape consiste à revoir l’architecture de votre réseau. Trop souvent, tous les appareils partagent un même réseau : ordinateur, tablette, téléphone, caméra IP, console de jeu, imprimante… et bien sûr, le NAS.

Si cela facilite l’installation, elle expose tout le réseau en cas d’intrusion. Il suffit d’un seul objet connecté vulnérable pour qu’il devienne le point d’entrée pour accéder au NAS. Et on le sait, il suffit d’un maillon faible…

Segmenter pour mieux protéger

Mettre en place une segmentation réseau est aujourd’hui une pratique incontournable, y compris pour le particulier. Cela consiste à séparer les appareils selon leur niveau de confiance :

• Réseau principal pour vos appareils de confiance (ordinateurs, téléphones, NAS…) ;

• Réseau pour les objets connectés (station météo, caméra IP, domotique, alarme…) ;

• Réseau pour les invités.

Les routeurs récents permettent de configurer facilement des SSID dédiés (Wi-Fi), des VLAN (réseau virtuel), ce qui limite les déplacements latéraux d’un attaquant. On voit de plus en plus de personne mettre leur NAS dans un réseau dédié, avec un réglage fin pour limiter encore plus les accès (un routeur ou switch spécifique est nécessaire).

Durcir la configuration du routeur

Une configuration par défaut ne suffit plus. Il est essentiel de :

• Désactiver UPnP sur votre Box/routeur (qui ouvre automatiquement des ports) ;

• Fermer tous les ports non utilisés ;

• Activer le pare-feu intégré ;

• Désactiver les services non indispensables.

Certains routeurs embarquent aussi des systèmes IDS/IPS capables de détecter des comportements suspects. Ces derniers peuvent être gourmands en ressources et limiter la bande passante. Sans aller jusqu’à une solution professionnelle, ils constituent une protection supplémentaire.

Mettre à jour son NAS et ses services

Les failles non corrigées restent l’un des premiers vecteurs d’attaque. Les fabricants de NAS (mais aussi d’autres appareils connectés) publient régulièrement des correctifs pour leurs systèmes d’exploitation : DSM, QTS, ADM… Les ignorer revient à laisser une porte ouverte, que votre NAS soit exposé ou non à Internet.

Activer les mises à jour automatiques (ou vérifier régulièrement leur disponibilité) permet de garantir une protection efficace. Il ne faut pas non plus négliger les mises à jour des paquets et applications installés, parfois développés par des tiers. Je pense notamment aux images docker et donc vos conteneurs.

Contrôler les accès : mots de passe, permissions, MFA

La gestion des comptes constitue un autre pilier de la sécurité. En 2025, les attaques brute-force et les tentatives d’accès via des mots de passe exposés font partie du quotidien. Un NAS doit impérativement être protégé par :

• Un mot de passe unique et robuste ;

• La désactivation (ou le renommage) du compte admin par défaut ;

• Des permissions strictes (principe du moindre privilège) ;

• Une authentification multi-facteur (MFA/2FA) pour tous les comptes sensibles.

L’objectif est de limiter les risques, même en cas de fuite.Accéder à son NAS depuis l’extérieur

L’accès à distance reste l’une des fonctions les plus recherchées des utilisateurs sur Cachem… mais il faut faire très attention.

Ouvrir un port sur son routeur pour accéder au NAS est une pratique à proscrire en 2026. Les scans automatisés sondent en permanence les adresses IP publiques (de votre box) et détectent instantanément les interfaces exposées. Personnellement, je privilégie les VPN à minima et une solution Zero Trust pour les entreprises…

Aujourd’hui, il y a 2 approches sécurisées :

• VPN, notamment WireGuard qui est mon préféré : simple, rapide et parfaitement adapté

• Zero Trust Network Access (ZTNA) vérifie l’identité et l’intégrité de chaque appareil avant de le laisser passer

Pour les utilisateurs ne souhaitant ouvrir aucun port, des solutions comme Cloudflare Tunnel permettent un accès distant sécurisé sans exposition directe.

Chiffrement et sécurisation des données

Le chiffrement des échanges réseau et des données sensibles sont devenus la norme. L’interface d’administration doit impérativement être accédée en HTTPS. Les NAS proposent également le chiffrement des dossiers, voire d’un volume entier, utile en cas de vol ou de compromission physique du matériel.

Surveiller et détecter les activités suspectes

Une bonne sécurité inclut également de la supervision. Les logs de connexion, d’accès aux fichiers, de changements de configuration ou de tentatives échouées doivent être consultés régulièrement. Les notifications (e-mail, push via une App, SMS…) permettent d’être alerté.

Sauvegardez, sauvegardez, sauvegardez

Aucune stratégie de sécurité ne peut être considérée comme complète sans la mise en place d’une stratégie de sauvegarde. Qu’il s’agisse d’une panne matérielle, une erreur humaines ou encore une attaque ransomware, seule une sauvegarde fiable garantit la continuité. Il est donc nécessaire de mettre en place une vrai stratégie de sauvegarde 3 – 2 – 1 – 0.